很多浏览器防止了script,img标签的执行，但是绑定动态插入的标签还是可以攻击